Avisos públicos
Vulnerabilidad de ejecución remota del código de Apache Struts FileUploadInterceptor (CVE-2024-53677)
13 dic. 2024 GMT+08:00
I. Información general
Recientemente, Apache Struts ha publicado un aviso de seguridad, revelando una vulnerabilidad de ejecución remota del código (CVE-2024-53677) en versiones específicas de Apache Struts. La vulnerabilidad surge a partir de un defecto en la lógica de carga del archivo. Si se utiliza FileUploadInterceptor en el código, los atacantes pueden manipular los parámetros de carga del archivo para permitir un camino traversal. En algunas circunstancias, los atacantes pueden cargar archivos maliciosos para explotar la vulnerabilidad, lo que lleva a la ejecución remota del código.
Apache Struts es un popular marco de aplicaciones web Java. Si usted es un usuario de Apache Struts, verifique sus versiones e implemente las mejoras de seguridad de manera oportuna.
Referencia:
https://cwiki.apache.org/confluence/display/WW/S2-067
II. Severidad
Severidad: importante
(Severidad: baja, moderada, importante o crítica)
III. Productos afectados
Versiones afectadas:
Struts 2.0.0 - Struts 2.3.37 (EOL)
Struts 2.5.0 - Struts 2.5.33
Struts 6.0.0 - Struts 6.3.0.2
Versiones seguras:
Apache Struts >= 6.4.0
IV. Manejo de la vulnerabilidad
Se ha publicado una nueva versión oficial para solucionar esta vulnerabilidad. Actualice a esta versión segura y use el Interceptor de carga de archivos de acción para garantizar la seguridad.
https://github.com/apache/struts/releases
Notas: Antes de corregir vulnerabilidades, haga una copia de respaldo de sus archivos y realice una prueba exhaustiva.